Durante os últimos cinco anos, pesquisadores identificaram diversas campanhas direcionadas ao Docker Hub, nas quais milhões de contêineres maliciosos "sem imagem" foram implantados. Isso destaca, mais uma vez, a vulnerabilidade dos registros de código aberto à exploração por ataques à cadeia de suprimentos.
De acordo com Andrey Polkovnichenko, pesquisador da JFrog, mais de quatro milhões de repositórios no Docker Hub estão vazios, contendo apenas documentação do repositório. Essa documentação, por sua vez, não está relacionada ao contêiner; em vez disso, consiste em páginas da web destinadas a atrair usuários para sites de phishing ou hospedagem de malware.
Dos 4,79 milhões de repositórios do Docker Hub sem imagem identificados, 3,2 milhões foram utilizados como páginas de destino em três grandes campanhas, redirecionando usuários desavisados para sites fraudulentos:
Downloader (repositórios criados no primeiro semestre de 2021 e setembro de 2023), que anuncia links para suposto conteúdo pirata ou cheats para videogames, mas direciona diretamente para fontes maliciosas ou legítimas que, por sua vez, contém código JavaScript que redireciona para payloads maliciosos após 500 milissegundos.
Phishing de e-books (repositórios criados em meados de 2021), que redireciona os usuários que procuram e-books para um site (“rd.lesac.ru”) que, por sua vez, os incentiva a inserir suas informações financeiras para baixar o e-book.
Site (milhares de repositórios criados diariamente entre abril de 2021 a outubro de 2023), que contém um link para um serviço de hospedagem de diários online chamado Penzu.
O payload entregue como parte da campanha de download é projetado para entrar em contato com um servidor de comando e controle (C2) e transmitir metadados do sistema, após o que o servidor responde com um link para o software crackeado.
Por outro lado, o objetivo exato do cluster de sites ainda não está claro, com a campanha também sendo propagada em sites que possuem política de moderação de conteúdo fraca.
“O aspecto mais preocupante dessas três campanhas é que não há muito que os usuários possam fazer para se proteger desde o início, a não ser ter cautela”, disse Shachar Menashe, diretor sênior de pesquisa de segurança da JFrog em um comunicado.
“Estamos essencialmente olhando para um playground de malware que, em alguns casos, levou três anos para ser criado. Esses hackers são altamente motivados e estão se escondendo atrás da credibilidade do nome Docker Hub para atrair vítimas”.
Com os hackers empregando esforços meticulosos para infectar utilitários bem conhecidos, como evidenciado no caso do comprometimento do XZ Utils, é crucial que os desenvolvedores tenham cautela quando se trata de baixar pacotes de ecossistemas de código aberto.
Segundo Menashe - “Como sugere a Lei de Murphy, se algo pode ser explorado por desenvolvedores de malware, inevitavelmente o será, por isso esperamos que essas campanhas possam ser encontradas em mais repositórios do que apenas no Docker Hub”.
Via - THN
تعليقات